IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
OSS利用に不可欠な脆弱性検索やパッチ管理、NVDよりも確実&迅速な方法とは?
コンテンツ情報
| 公開日 | 2021/04/07 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 9ページ | ファイルサイズ | 546KB | ||
要約
DevOpsの成功に欠かせない、オープンソースソフトウェア(OSS)。しかし、アップデートやパッチがベンダーからプッシュ配信される商用ソフトウェアとは異なり、OSSでは脆弱性をユーザーが主体的にチェックしなければならない。膨大な数の脆弱性を検出/特定し、深刻度の判断やパッチ管理の最適化を行うことは、容易なミッションではない。
この問題を解消し、CI/CDパイプラインを乱すことなく脆弱性に対処するには、セキュリティに関する情報源、脆弱なコンポーネントの特定、脆弱性の優先付け、修正作業といった4つの要素が必要となる。その実現手段としてはNVD(脆弱性情報データベース)の活用が考えられるが、そもそもOSSの脆弱性への対処は想定されていないため、脆弱性の公開や修正アドバイスの情報源としては、完全性や迅速さにおいて不安もある。
そこで注目したいのが、DevOpsツールチェーンに直接統合が可能で、脆弱性の特定に関する情報はもちろん、脅威の理解や対処に必要なデータと資料を専門家が提供する「オープンソース脆弱性レコード」だ。本資料では、その特長やNVDとの違い、活用事例を詳しく紹介しているので、参考にしてほしい。
この問題を解消し、CI/CDパイプラインを乱すことなく脆弱性に対処するには、セキュリティに関する情報源、脆弱なコンポーネントの特定、脆弱性の優先付け、修正作業といった4つの要素が必要となる。その実現手段としてはNVD(脆弱性情報データベース)の活用が考えられるが、そもそもOSSの脆弱性への対処は想定されていないため、脆弱性の公開や修正アドバイスの情報源としては、完全性や迅速さにおいて不安もある。
そこで注目したいのが、DevOpsツールチェーンに直接統合が可能で、脆弱性の特定に関する情報はもちろん、脅威の理解や対処に必要なデータと資料を専門家が提供する「オープンソース脆弱性レコード」だ。本資料では、その特長やNVDとの違い、活用事例を詳しく紹介しているので、参考にしてほしい。